SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 15/SEOJK.03/2017 TAHUN 2017 TENTANG STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH Yth. 1. Direksi Bank Perkreditan Rakyat; dan 2. Direksi Bank Pembiayaan Rakyat Syariah, di tempat. Sehubungan dengan Peraturan Otoritas Jasa Keuangan Nomor 75/POJK.03/2016 tentang Standar Penyelenggaraan Teknologi Informasi bagi Bank Perkreditan Rakyat dan Bank Pembiayaan Rakyat Syariah (Lembaran Negara Republik Indonesia Tahun 2016 Nomor 308 Tambahan Lembaran Negara Nomor 5998) yang selanjutnya disingkat POJK SPTI, perlu untuk mengatur ketentuan pelaksanaan mengenai Standar Penyelenggaraan Teknologi Informasi bagi Bank Perkreditan Rakyat (BPR) dan Bank Pembiayaan Rakyat Syariah (BPRS) dalam Surat Edaran Otoritas Jasa Keuangan sebagai berikut: I. KETENTUAN UMUM 1. Penyelenggaraan Teknologi Informasi oleh BPR dan BPRS yang mencakup proses perencanaan, pengembangan dan pengadaan, serta pemeliharaan Teknologi Informasi merupakan tanggung jawab Direksi dan Dewan Komisaris dengan memastikan bahwa penyelenggaraan Teknologi Informasi berjalan sebagaimana mestinya dalam rangka pencapaian visi dan misi BPR dan BPRS yang bersangkutan. 2. Surat Edaran Otoritas Jasa Keuangan ini dimaksudkan untuk memberikan pedoman penyelenggaraan Teknologi Informasi bagi BPR dan BPRS sebagai acuan minimum dalam penyelenggaraan Teknologi Informasi, termasuk dalam penyusunan kebijakan dan prosedur penyelenggaraan Teknologi Informasi bagi BPR dan BPRS. 3. Surat Edaran Otoritas Jasa Keuangan ini mencakup pedoman penyelenggaraan Teknologi Informasi, format, dan tata cara penyampaian laporan terkait penyelenggaraan Teknologi Informasi. II. STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI 1. Sesuai dengan ketentuan yang diatur dalam Pasal 2 ayat (1) POJK SPTI, penyelenggaraan Teknologi Informasi oleh BPR atau BPRS paling sedikit berupa: a. Aplikasi Inti Perbankan dan Pusat Data bagi BPR atau BPRS yang memiliki modal inti kurang dari Rp50.000.000.000,00 (lima puluh miliar rupiah); atau b. Aplikasi Inti Perbankan, Pusat Data dan Pusat Pemulihan Bencana bagi BPR atau BPRS yang memiliki modal inti paling sedikit Rp50.000.000.000,00 (lima puluh miliar rupiah). 2. Sesuai dengan ketentuan yang diatur dalam Pasal 5 ayat (1) huruf b POJK SPTI, BPR dan BPRS wajib memastikan agar Aplikasi Inti Perbankan mampu melakukan pembukuan transaksi antar jaringan kantor: a. pada hari yang sama bagi BPR dan BPRS yang tidak menyediakan layanan perbankan elektronik (electronic banking) dan tidak melakukan kegiatan sebagai penerbit kartu Automated Teller Machine (ATM); 1 / 6
b. secara online dan real time bagi BPR dan BPRS yang menyediakan layanan perbankan elektronik (electronic banking) dan/atau melakukan kegiatan sebagai penerbit kartu Automated Teller Machine (ATM). Layanan perbankan elektronik sebagaimana dimaksud dalam huruf a dan huruf b termasuk juga kegiatan sebagai penerbit kartu debet sebagaimana dimaksud dalam Peraturan Otoritas Jasa Keuangan mengenai kegiatan dan jaringan kantor BPR berdasarkan modal inti bagi BPR dan Peraturan Otoritas Jasa Keuangan mengenai Bank Pembiayaan Rakyat Syariah bagi BPRS. 3. Kebijakan dan prosedur dalam rangka penyelenggaraan Teknologi Informasi sebagaimana dimaksud pada angka 1, mengacu pada Standar Penyelenggaraan Teknologi Informasi sebagaimana dimaksud pada Lampiran I yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Otoritas Jasa Keuangan ini. Penyusunan kebijakan dan prosedur penyelenggaraan Teknologi Informasi dilakukan sesuai dengan kebutuhan dan kompleksitas usaha BPR dan BPRS. 4. Sesuai dengan ketentuan yang diatur dalam Pasal 13 ayat (2) POJK SPTI, kebijakan dan prosedur sebagaimana dimaksud pada angka 3 paling sedikit meliputi: a. wewenang dan tanggung jawab Direksi, Dewan Komisaris, dan Satuan Kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi; b. pengembangan dan pengadaan; c. operasional Teknologi Informasi; d. jaringan komunikasi; e. pengamanan informasi; f. Rencana Pemulihan Bencana; g. audit intern Teknologi Informasi; dan h. kerja sama dengan penyedia jasa Teknologi Informasi. 5. Sesuai dengan ketentuan yang diatur dalam Pasal 6 ayat (2) dan Pasal 30 ayat (1) POJK SPTI, BPR dan BPRS yang melakukan pengadaan Aplikasi Inti Perbankan dengan cara membeli, harus membeli aplikasi tersebut dari penyedia Aplikasi Inti Perbankan yang berbentuk badan hukum paling lambat 3 (tiga) tahun sejak POJK SPTI berlaku. Pengadaan Aplikasi Inti Perbankan yang dimaksud yaitu pengadaan untuk Aplikasi Inti Perbankan yang baru atau penggantian Aplikasi Inti Perbankan. 6. Dalam hal BPR dan BPRS melakukan pengembangan atau pemeliharaan Aplikasi Inti Perbankan yang dimiliki tanpa melakukan pengadaan Aplikasi Inti Perbankan baru, BPR dan BPRS harus memastikan pengembangan atau pemeliharaan Aplikasi Inti Perbankan dimaksud sesuai dengan ketentuan yang diatur dalam Pasal 5 ayat (1) POJK SPTI. 7. Paling lambat 3 (tiga) tahun sejak POJK SPTI berlaku, Aplikasi Inti Perbankan harus memenuhi standar minimum Aplikasi Inti Perbankan sebagaimana dimaksud dalam Pasal 5 ayat (1) POJK SPTI. 8. Sesuai dengan ketentuan yang diatur dalam Pasal 6 ayat (4) dan ayat (5) POJK SPTI, kerja sama yang dilakukan BPR dan BPRS dengan penyedia Aplikasi Inti Perbankan dalam rangka pengembangan dan pengadaan Aplikasi Inti Perbankan sejak POJK SPTI berlaku wajib dilaksanakan berdasarkan perjanjian tertulis paling sedikit mencakup pokok-pokok perjanjian kerja sama sebagaimana dimaksud dalam Lampiran I BAB II huruf E yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Otoritas Jasa Keuangan ini. 2 / 6
III. 9. Perjanjian tertulis sebagaimana dimaksud pada angka 8 juga memuat klausula mengenai kewajiban bagi penyedia Aplikasi Inti Perbankan untuk: a. memiliki sumber daya manusia yang kompeten yaitu memiliki keahlian khusus di bidang Teknologi Informasi yang dibuktikan dengan sertifikat keahlian, surat keterangan pengalaman, dan/atau ijazah pendidikan sesuai dengan keperluan penyelenggaraan Teknologi Informasi; b. memberikan jaminan bahwa selama jangka waktu perjanjian penyedia Aplikasi Inti Perbankan: 1) memastikan Aplikasi Inti Perbankan bekerja sesuai spesifikasi; 2) bertanggung jawab jika terjadi permasalahan pada Aplikasi Inti Perbankan; dan 3) melakukan pemeliharaan Aplikasi Inti Perbankan. 10. Sesuai dengan ketentuan yang diatur dalam Pasal 17 ayat (2) POJK SPTI, kerja sama BPR dan BPRS dengan penyedia jasa Teknologi Informasi dalam rangka penyelenggaraan Teknologi Informasi sejak POJK SPTI berlaku wajib didasarkan pada perjanjian kerja sama yang paling sedikit memuat pokok-pokok perjanjian kerja sama sebagaimana dimaksud dalam Lampiran I BAB VIII yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Otoritas Jasa Keuangan ini. 11. Perjanjian kerja sama BPR dan BPRS sebagaimana dimaksud pada angka 10 dengan penyedia jasa Teknologi Informasi dalam rangka penyelenggaraan Teknologi Informasi yang telah ada pada saat POJK SPTI berlaku disesuaikan dengan mengacu pada Lampiran I BAB VIII yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Otoritas Jasa Keuangan ini. 12. Sesuai dengan ketentuan yang diatur dalam Pasal 22 ayat (2) POJK SPTI, fungsi audit intern terhadap penyelenggaraan Teknologi Informasi wajib dilakukan secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun dengan pelaksanaan sebagai berikut: a. bagi BPR, fungsi audit intern terhadap penyelenggaraan Teknologi Informasi dilakukan: 1) sebagai bagian dari audit intern BPR sesuai dengan ketentuan yang diatur dalam Peraturan Otoritas Jasa Keuangan mengenai penerapan tata kelola bagi BPR; atau 2) secara terpisah dari pelaksanaan audit intern BPR dalam hal audit penyelenggaraan Teknologi Informasi dilakukan oleh auditor ekstern. b. bagi BPRS, fungsi audit intern terhadap penyelenggaraan Teknologi Informasi tetap dilakukan dengan mengacu pada ketentuan mengenai penerapan tata kelola BPRS dan peraturan perundang-undangan terkait lainnya. Pelaksanaan fungsi audit intern terhadap penyelenggaraan Teknologi Informasi tersebut dapat dilaksanakan sendiri oleh BPRS yang bersangkutan atau menggunakan jasa auditor ekstern. 13. Ruang lingkup audit intern terhadap penyelenggaraan Teknologi Informasi paling sedikit mencakup aspek: a. Aplikasi Inti Perbankan, untuk memastikan Aplikasi Inti Perbankan telah memenuhi standar minimal sebagaimana dimaksud dalam POJK SPTI; dan b. wewenang dan tanggung jawab Direksi, Dewan Komisaris, serta satuan kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi, untuk memastikan pelaksanaan wewenang serta tanggung jawab Direksi, Dewan Komisaris, dan satuan kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi terlaksana dengan baik sesuai dengan ketentuan yang diatur dalam POJK SPTI. LAPORAN 3 / 6
1. Laporan Rutin a. Sesuai dengan ketentuan yang diatur dalam Pasal 23 ayat (1) POJK SPTI, BPR dan BPRS wajib menyampaikan laporan pelaksanaan fungsi audit intern Teknologi Informasi kepada Otoritas Jasa Keuangan dengan pelaksanaan sebagai berikut: 1) Bagi BPR, laporan pelaksanaan fungsi audit intern terhadap penyelenggaraan Teknologi Informasi disampaikan sebagai bagian dari laporan pelaksanaan dan pokokpokok hasil audit intern sebagaimana diatur dalam Peraturan Otoritas Jasa Keuangan mengenai penerapan tata kelola bagi BPR baik yang dilaksanakan sendiri oleh BPR yang bersangkutan maupun dengan menggunakan jasa auditor ekstern. 2) Bagi BPRS, dalam hal belum terdapat ketentuan laporan pelaksanaan fungsi audit intern Teknologi Informasi, laporan pelaksanaan fungsi audit intern terhadap penyelenggaraan Teknologi Informasi disampaikan sebagai satu laporan khusus baik yang dilaksanakan sendiri oleh BPRS yang bersangkutan maupun dengan menggunakan jasa auditor ekstern. b. Laporan pelaksanaan fungsi audit intern terhadap penyelenggaraan Teknologi Informasi sebagaimana dimaksud dalam huruf a disampaikan kepada Otoritas Jasa Keuangan dengan batas waktu sebagai berikut: 1) bagi BPR, mengacu pada batas waktu penyampaian laporan pelaksanaan dan pokokpokok hasil audit intern sebagaimana dimaksud dalam Peraturan Otoritas Jasa Keuangan mengenai penerapan tata kelola bagi BPR; dan 2) bagi BPRS, disampaikan paling lambat pada tanggal 31 Januari untuk audit yang dilaksanakan pada periode akhir tahun sebelumnya. 2. Laporan Insidentil a. Laporan kondisi terkini 1) Sesuai dengan ketentuan yang diatur dalam Pasal 24 POJK SPTI, BPR dan BPRS wajib menyampaikan laporan kondisi terkini penyelenggaraan Teknologi Informasi kepada Otoritas Jasa Keuangan meliputi paling sedikit penjelasan mengenai Teknologi Informasi yang diselenggarakan, struktur organisasi yang menggambarkan penyelenggaraan Teknologi Informasi, serta kebijakan dan prosedur yang dimiliki terkait penyelenggaraan Teknologi Informasi oleh BPR atau BPRS. Termasuk dalam cakupan laporan kondisi terkini penyelenggaraan Teknologi Informasi adalah penyesuaian perjanjian kerja sama penyelenggaraan Teknologi Informasi antara BPR atau BPRS dengan penyedia jasa Teknologi Informasi sebagaimana dimaksud pada Romawi II angka 11. 2) Laporan kondisi terkini penyelenggaraan Teknologi Informasi sebagaimana dimaksud pada angka 1) disampaikan kepada Otoritas Jasa Keuangan dalam jangka waktu sebagai berikut: a) untuk laporan pertama kali, disampaikan dalam jangka waktu 1 (satu) tahun sejak POJK SPTI ini berlaku; dan b) setelah jangka waktu 1 (satu) tahun sebagaimana di maksud dalam huruf a) terlampaui dan terjadi perubahan mendasar dalam penyelenggaraan Teknologi Informasi. Yang dimaksud dengan perubahan mendasar dalam penyelenggaraan Teknologi Informasi yaitu perubahan terhadap konfigurasi Teknologi Informasi atau Aplikasi Inti Perbankan, pengadaan Aplikasi Inti Perbankan, kerja sama 4 / 6
IV. dengan penyedia jasa Teknologi Informasi, serta pengembangan dan pengadaan Teknologi Informasi mendasar lainnya yang dapat menambah dan/atau meningkatkan risiko BPR atau BPRS. c) penyampaian perubahan mendasar menggunakan format laporan kondisi terkini dengan disertai informasi mengenai keterangan dan alasan perubahan sebagaimana dimaksud dalam Lampiran II yang merupakan bagian yang tidak terpisahkan dari Surat Edaran Otoritas Jasa Keuangan ini. d) laporan kondisi terkini penyelenggaraan Teknologi Informasi sebagaimana dimaksud dalam huruf b) disampaikan paling lambat 10 (sepuluh) hari kerja sejak Teknologi Informasi efektif beroperasi. b. Laporan realisasi kerja sama dengan penyedia jasa Teknologi Informasi Sesuai dengan ketentuan sebagaimana dimaksud dalam Pasal 25 POJK SPTI, BPR dan BPRS wajib menyampaikan laporan realisasi kerja sama dengan penyedia jasa Teknologi Informasi dalam rangka penyelenggaraan Teknologi Informasi paling lambat 10 (sepuluh) hari kerja sejak penyelenggaraan Teknologi Informasi BPR atau BPRS efektif beroperasi. Laporan realisasi kerja sama dimaksud dilampiri dengan dokumen pendukung berupa perjanjian kerja sama dan profil penyedia jasa. c. Laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan Teknologi Informasi 1) Sesuai dengan ketentuan sebagaimana dimaksud dalam Pasal 26 ayat (1) POJK SPTI, BPR dan BPRS wajib menyampaikan laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan Teknologi Informasi yang dapat atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional BPR atau BPRS. 2) Sesuai dengan ketentuan sebagaimana dimaksud dalam Pasal 26 ayat (2) POJK SPTI, laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan Teknologi Informasi wajib disampaikan: a) melalui surat elektronik (e-mail) atau telepon kepada pengawas BPR atau BPRS pada Kantor Regional atau Kantor Otoritas Jasa Keuangan yang membawahkan wilayah kantor pusat BPR atau BPRS tersebut paling lambat 1 (satu) hari setelah kejadian kritis, penyalahgunaan, dan/atau kejahatan diketahui; dan b) melalui laporan tertulis paling lambat 7 (tujuh) hari kerja sejak kejadian kritis, penyalahgunaan, dan/atau kejahatan diketahui. LAIN-LAIN 1. Tata Cara Penyampaian Laporan Penyampaian laporan sebagaimana dimaksud pada Romawi III dilakukan dengan cara sebagai berikut: a. bagi BPR disampaikan kepada Otoritas Jasa Keuangan u.p. Kantor Regional atau Kantor Otoritas Jasa Keuangan yang membawahkan wilayah kantor pusat BPR tersebut; b. bagi BPRS disampaikan kepada Otoritas Jasa Keuangan u.p. Departemen Perbankan Syariah, Kantor Regional atau Kantor Otoritas Jasa Keuangan yang membawahkan wilayah kantor pusat BPRS tersebut. 2. Pemenuhan ketentuan bagi BPR atau BPRS saat POJK SPTI diundangkan dilakukan dengan memperhatikan hal-hal sebagai berikut: 5 / 6
a. sesuai dengan ketentuan sebagaimana dimaksud dalam Pasal 30 ayat (1) POJK SPTI, BPR dan BPRS yang telah memperoleh izin usaha pada saat POJK SPTI ini diundangkan wajib memenuhi ketentuan sebagaimana dimaksud dalam Pasal 2 ayat (1), Pasal 3 ayat (1), Pasal 3 ayat (2), Pasal 4, Pasal 5 ayat (1), Pasal 6 ayat (2), Pasal 8, Pasal 9, Pasal 12 ayat (1), Pasal 13 ayat (1), Pasal 14 ayat (1), Pasal 14 ayat (3), Pasal 14 ayat (4), Pasal 16, Pasal 22 ayat (1), Pasal 22 ayat (2), Pasal 22 ayat (3), Pasal 23 ayat (1) dan Pasal 23 ayat (3) paling lambat 3 (tiga) tahun sejak POJK SPTI ini berlaku. b. ketentuan sebagaimana dimaksud dalam huruf a berlaku juga bagi BPR atau BPRS yang memperoleh izin penggabungan (merger), peleburan (konsolidasi), dan/atau perubahan kegiatan usaha dari BPR menjadi BPRS setelah POJK SPTI diundangkan. c. BPR dan BPRS dalam proses pendirian dan belum memperoleh izin usaha dari Otoritas Jasa Keuangan pada saat POJK SPTI ini diundangkan wajib memenuhi seluruh ketentuan dalam POJK SPTI pada saat dimulainya pelaksanaan kegiatan operasional sesuai dengan ketentuan sebagaimana dimaksud dalam Peraturan Otoritas Jasa Keuangan mengenai bank perkreditan rakyat. V. PENUTUP Ketentuan dalam Surat Edaran Otoritas Jasa Keuangan ini mulai berlaku pada tanggal ditetapkan. Ditetapkan Di Jakarta, Pada Tanggal 6 April 2017 KEPALA EKSEKUTIF PENGAWAS PERBANKAN OTORITAS JASA KEUANGAN, Ttd. NELSON TAMPUBOLON 6 / 6